B4-T5 Seguridad en SI

Questions and Answers

¿Cuál es la definición correcta de impacto acumulado sobre un activo?

• La pérdida de valor solo del activo afectado.
• La suma del impacto de todas las amenazas a que está expuesto el activo.
• La pérdida de valor acumulado del activo más el de los activos que dependen de él. (correct)
• El valor máximo que puede alcanzar un activo tras sufrir una amenaza.

En la clasificación de zonas de riesgo, ¿qué describe la Zona 2?

• Situaciones muy probables y de muy alto impacto.
• Riesgos improbables y de alto impacto.
• Un amplio rango desde situaciones improbables de impacto medio hasta muy probables de impacto bajo. (correct)
• Situaciones improbables y de bajo impacto.

¿Qué representa el riesgo en la fórmula F(probabilidadAmenza, impacto)?

• Los activos que dependen de un activo dado y su vulnerabilidad.
• La combinación de la probabilidad de ocurrencia de una amenaza y su impacto. (correct)
• El daño final sufrido por un activo tras una amenaza.
• La suma del impacto de todas las amenazas posibles sobre un activo.

¿Qué es el riesgo potencial según el contenido?

La medida del daño probable sobre un sistema considerando solo la probabilidad de una amenaza. (D)

¿Qué significa el término 'riesgo repercutido' sobre un activo?

El impacto sobre un activo causado directamente por las amenazas a otros activos. (B)

¿Cuál es la característica del valor acumulado sobre un activo?

Es el máximo entre el valor del activo y el valor de los activos que dependen de él. (A)

¿Cómo se puede definir el análisis de riesgo?

Un proceso sistemático para estimar la magnitud de los riesgos a los que está expuesta una organización. (B)

En la definición de impacto sobre un activo, ¿qué destaca la ocurrencia de una amenaza?

El impacto es la consecuencia directa de su valor acumulado. (A)

¿Cuál de las siguientes afirmaciones sobre los antivirus es incorrecta?

Los antivirus funcionan únicamente en redes informáticas. (C)

¿Qué función principal cumple un sistema de autenticación?

Verificar la identidad de un usuario antes de permitir el acceso. (A)

¿Cuál de los siguientes métodos de autenticación genera un token?

Kerberos (C)

En el contexto de OAuth, ¿qué se entiende por autorización?

Conceder acceso a recursos sin revelar credenciales. (A)

¿Qué describe mejor a un JWT (JSON Web Token)?

Un estándar abierto para crear tokens de acceso. (B)

¿Cuál de los siguientes elementos no forma parte de un JWT?

Token de acceso (A)

El protocolo Radius se utiliza principalmente para:

Proporcionar autenticación y autorización centralizada. (D)

¿Qué caracteriza principalmente a un firewall?

Permitir solo comunicaciones autorizadas y bloquear accesos no autorizados. (A)

¿Cuál de las siguientes es una salvaguarda contra ataques XSS?

Políticas CORS (B)

La técnica de 'clickjacking' se basa en:

Engañar al usuario para que haga clic en botones ocultos (D)

¿Qué medida ayuda a forzar el uso de HTTPS en las conexiones web?

HSTS (B)

¿Cuál es la función principal de un WAF?

Filtrar tráfico web y proteger contra ataques (C)

El eavesdropping se refiere a:

Escuchar conversaciones privadas sin autorización (C)

¿Qué significa la cabecera 'Content-Security-Policy'?

Definir fuentes permitidas para recursos web (D)

¿Cuál de los siguientes ataques implica el robo de una sesión ya iniciada?

Session Hijacking (D)

¿Qué recurso utiliza una política CORS para gestionar la interacción entre diferentes dominios?

Reglas en navegadores web (A)

¿Cuál es la disponibilidad anual asociada con un CPD de Tier I?

28,8 horas (D)

¿Qué característica NO es propia de un CPD de Tier IV?

Una única entrada de energía (B)

¿Qué métrica se utiliza para evaluar la eficiencia energética de un CPD?

PUE (Power Usage Effectiveness) (B)

¿Cuál es el nombre del sistema que permite la interrupción de energía de emergencia en un CPD?

EPO (Emergency Power Off) (D)

¿Qué describe mejor el sistema mecánico según la norma TIA 942?

Mantenimiento y gestión del clima (D)

La ubicación física de un CPD debe evitar:

Espacios con interferencias (C)

¿Cuál es la característica asociada a un CPD de Tier III en comparación con Tier II?

Mantenimiento concurrente (D)

En un CPD, la 'sala blanca' se refiere a:

Una réplica exacta del CPD principal (D)

¿Cuál es el propósito de ELSA en el contexto de la administración pública?

Monitorear activos conectados a Internet para detectar vulnerabilidades. (B)

¿Qué función principal cumple el simulador ELENA?

Permitir a los usuarios desempeñar el rol de analista en un entorno simulado. (A)

¿Qué característica distintiva tiene la plataforma EMMA?

Agiliza la visualización y autenticación de activos en una red. (A)

¿Qué tipo de técnicas utiliza GLORIA para gestionar incidentes y amenazas?

Correlación compleja de eventos en un sistema SIEM. (D)

¿Cuál es el enfoque principal de INES en la gobernanza de la ciberseguridad?

Evaluar el estado de seguridad de los sistemas TIC regularmente. (C)

¿Qué función tiene la plataforma IRIS en relación con la ciberseguridad del sector público?

Conocer en tiempo real la situación de la ciberseguridad y ciberamenazas. (C)

¿Para qué fue desarrollado LUCIA?

Para la coordinación de incidentes y amenazas cibernéticas. (B)

¿Cuál es una característica importante de MARIA en comparación con otras plataformas?

Realiza análisis estáticos en profundidad y es accesible solo desde ADA. (B)

Study Notes

Valor Acumulado

• El valor acumulado de un activo es el mayor de todos los valores que soporta, incluyendo su propio valor y el de cualquier activo superior.

Impacto y Riesgo

• Impacto: Daño causado por la materialización de una amenaza. Consiste en la pérdida de valor acumulado del activo afectado y de los activos que dependen de él.
• Impacto Repercutido: Si un activo A depende del activo B, las amenazas que afectan a B repercuten en A, lo que provoca la pérdida del valor propio de A.
• Probabilidad de Una Amenaza: No se especifica.
• Riesgo: Función que relaciona la probabilidad de una amenaza con su impacto.
  • El valor 0 representa un riesgo inexistente.
  • Magerit se utiliza para estimar el grado de exposición a que una amenaza se materialice sobre un activo, causando daño a la organización.
  • Se identifican cuatro zonas de riesgo:
    • Zona 1: Probabilidad muy alta y alto impacto.
    • Zona 2: Probabilidad variable desde improbable y de impacto medio hasta muy probable y de impacto bajo o muy bajo.
    • Zona 3: Probabilidad improbable y de bajo impacto.
    • Zona 4: Probabilidad improbable y de muy alto impacto.
• Análisis de Riesgo: Proceso sistemático para determinar la magnitud de los riesgos a los que está expuesta una organización.
• Riesgo Potencial: Describe el daño probable sobre un sistema. Se calcula teniendo en cuenta el impacto de las amenazas y la probabilidad de ocurrencia.
• Riesgo Acumulado: Calculado sobre un activo, considerando el impacto acumulado por una amenaza y su probabilidad.
• Riesgo Repercutido: Calculado sobre un activo, considerando el impacto repercutido por una amenaza y su probabilidad.

Contramedidas

• Antivirus: Software para detectar y eliminar virus informáticos.
• Anti-spam: Soluciones para prevenir o disminuir la entrega de spam.
• Firewalls: Bloquean el acceso no autorizado a un sistema o red, permitiendo las comunicaciones autorizadas.
• Sistemas de Autenticación: Verifican la identidad de usuarios, dispositivos o entidades antes de permitir el acceso a un sistema de información, red o aplicación. Algunos métodos utilizados son:
  • Radius: proporciona autenticación centralizada, autorización y contabilidad para usuarios conectados a una red. Genera un token.
  • Kerberos: protocolo de autenticación de red que ofrece una autenticación segura y robusta en redes no seguras. Genera tickets que funcionan como tokens.
  • OAuth: estándar de autorización que permite a los usuarios conceder acceso a sus recursos en un sitio web a otro sitio web sin compartir sus credenciales. Se basa en un protocolo de autorización, la autenticación está implícita.
  • JWT (JSON Web Token): estándar abierto para crear tokens de acceso que permiten la verificación de identidad y el intercambio seguro de información entre dos partes.
• WAF (Web Application Firewall): Protege las aplicaciones web de ataques como XSS (Cross Site Scripting).
• Eavesdropping: Escucha en secreto conversaciones privadas.
• XSS (Cross Site Scripting): Permite a un tercero inyectar código JavaScript malicioso en páginas web. Se pueden implementar salvaguardas para combatirlo:
  • CORS (Cross-Origin Resource Sharing): conjunto de reglas y mecanismos para controlar la interacción entre diferentes dominios web, priorizando la seguridad del usuario.
  • HSTS: Implementa el canal HTTPS de forma obligatoria.
  • Content Security Policy: limita las fuentes permitidas para cargar recursos como scripts, CSS, HTML y fuentes.
• Hijacking: Robo de una sesión ya iniciada.
• Clickjacking: Engaña al usuario para que haga clic en un botón o enlace en otro sitio web, usando capas transparentes o marcas de agua.

Soluciones de Ciberseguridad (España)

• ELSA: Sistema nacional para monitorizar activos conectados a Internet, detectando vectores de ataque y vulnerabilidades para entidades gubernamentales.
• ELENA: Simulador para la investigación en ciberseguridad, ofreciendo un entorno simulado basado en situaciones reales.
• EMMA: Plataforma para la vigilancia de la red, facilita la visualización de activos, su autenticación, segregación y automatización de auditorías de seguridad.
• GLORIA: Plataforma para la gestión de incidentes y amenazas de ciberseguridad, utilizando técnicas de correlación compleja de eventos, se basa en sistemas SIEM.
• INES: Solucion para la gobernanza de la ciberseguridad, evalúa regularmente la seguridad de los sistemas TIC y su cumplimiento con el Esquema Nacional de Seguridad (ENS).
• IRIS: Plataforma para conocer el estado general de la ciberseguridad del sector público y la situación de las amenazas a nivel nacional.
• LORETO: Almacenamiento en la nube.
• LUCIA (Listado Unificado de Coordinación de Incidentes y Amenazas): Herramienta para la gestión de ciberincidentes en entidades que están sujetas al Esquema Nacional de Seguridad.
• MARIA: Plataforma multi-antivirus en tiempo real con análisis estático en profundidad.
• MARTA: Plataforma de multi-sandboxing para análisis automático de archivos con potencial comportamiento malicioso.
• MONICA: Gestión de eventos e información de seguridad.

Centro de Datos (CPD)

• Temperatura: Los CPDs suelen estar en zonas con temperaturas bajas, especialmente si no se encuentran en climas fríos, para garantizar una temperatura adecuada.
• Iluminación: Se utiliza iluminación artificial, sin luz natural.
• Sistemas de Detección y Control de Incendios: Implementan medidas de seguridad para evitar y controlar incendios (NFPA75).
• Sistemas de Energía Eléctrica:
  • SAI (Sistemas de Alimentación Ininterrumpida) y grupos electrógenos para garantizar el suministro de energía.
  • Cuadros eléctricos separados por salas o zonas para mejorar la seguridad.
• Sistemas de Cableado Estructurado, Suelos y Techos Falsos/Técnicos: Se implementan estándares de la industria como TIA 658.
• Sistemas de Control de Acceso y Videovigilancia: Medidas de seguridad para controlar el acceso al CPD y monitorear las actividades.
• Ubicación Física: Se ubican en plantas intermedias, fuera de zonas con interferencias o cerca de canales de agua.
• CPD Respaldo: Se recomienda tener una réplica de datos:
  • Sala Blanca: Equivalente al CPD principal.
  • Sala de Backup: Similar a la sala blanca, pero ofrece menos servicios.

Norma TIA 942

• Define cuatro niveles (Tier I a Tier IV) para los centros de datos. Cada nivel ofrece diferentes niveles de disponibilidad y tolerancia a fallos.

Características de los TIER (Tabla)

Tier	Disponibilidad	Anual (horas de parada)	Paradas de mantenimiento	Redundancia	Entrada de energía	EPO (Emergency Power off)
Tier I	99,6671%	28,8 horas	2/año de 12 h, 3/2 años de 12 h	No	Una única entrada	Botón de parada de emergencia
Tier II	99,741%	22 horas		N+1	Una única entrada
Tier III	99,982%	1,6 horas	Ninguna	2(N+1)	2 entradas (1 activa, 1 pasiva)
Tier IV	99,995%	0,4 horas	Ninguna	Duplicada 2(N+1)	2 entradas (Activas)

Eficiencia Energética en CPDs

• PUE (Power Usage Effectiveness): Mide la eficiencia energética del CPD, calculando la relación entre el consumo total de energía y el consumo exclusivo de los sistemas IT.
• Objetivo: Minimizar el desperdicio de energía y reducir el consumo total sin afectar el rendimiento.

Description

Este cuestionario explora conceptos fundamentales sobre el valor acumulado de los activos y cómo se relacionan con el riesgo y el impacto de las amenazas. Conocer el funcionamiento de Magerit y las zonas de riesgo permitirá a los participantes entender mejor la gestión de activos en una organización.